Door de NAC (Network Access Control) uit te rollen via een Juniper Infranet UAC-oplossing, geïntegreerd in de Active Directory, koos de mediagroep voor Veiligheid met een grote “V”. Van het type dat echte rampen voorkomt.
“Wij richten onze energie op beveiligingsprojecten met bewezen technologieën die, net als de veiligheidsgordel, “levens kunnen redden”. De beveiliging van onze ethernet-toegang, operationeel sinds eind januari, was echt noodzakelijk”, vertelt Didier Martin, IT Infrastructure Manager bij RTL Belgium.
Ten eerste omwille van het uiterst kritieke karakter van het netwerk: “Dat is ons bloedvatenstelsel. Niet alleen omdat het gedeeld wordt door alle toepassingen van het bedrijf en al onze digitale archieven bevat. Maar omdat we het nodig hebben voor onze audio- en videoproductie: de bestanden worden opgeslagen op disks en servers die onderling verbonden zijn en via het netwerk ook met onze 750 posten.” Bovendien moeten productie en verspreiding zo reactief mogelijk zijn ten opzichte van de actualiteit: het is ondenkbaar dat het netwerk onbeschikbaar zou zijn omwille van een veiligheidsprobleem veroorzaakt door de verbinding met een niet-toegestaan toestel!
Het NAC moest zo ook beschermen tegen de gevaren voor het infrastructuur die mogelijk afkomstig zijn van zelfstandigen, freelancers en consultants. “Al deze mobiele personen kunnen proberen om vlot verbinding te maken met ons netwerk daar we overal Ethernet-contacten hebben … ook achter onze IP-telefoontoestellen. We geven tijdelijke toegang aan de technische consultants die moeten werken aan de IT-systemen, de andere krijgen toegang tot openbaar internet en wifi via een geïsoleerde WLAN en ze gebruiken een PC van RTL die ze op de interne bronnen moeten aansluiten.”
Tests op alle naden
Telindus, sinds jaar en dag de netwerkpartner van RTL Belgium, wees al snel in de richting van een Juniper-oplossing, die al zijn nut bewezen heeft en bovendien compatibel is met de Avaya-telefonie. Dat houdt 2 UAC-boxen in (user access control) Infranet 4000 in clustermode voor de redundantie met integratie in de Cisco-switches en de Active Directory. De installatie werd voorafgegaan door een proof-of-concept waarbij alle mogelijkheden aan bod kwamen: aansluiting op een poort, achter een telefoon, op een miniswitch, enz.
“We zijn vooral opgetogen door de professionele instelling van Telindus tijdens de PoC evenals hun vastberadenheid om oplossingen te vinden voor problemen”, vermeldt Didier Martin die ook nog wijst op de complexiteit van het project: “Er waren 4 niveaus van systemen bij betrokken. Het OS Windows van PC Client, waarbij de softwarelaag van Juniper vrij laag wordt ingevoegd, het switching-gedeelte waarbij Cisco in dialoog staat met de PC en Juniper, daarna het UAC-deel waarbij Juniper contact heeft met de switches, de PC en de Active Directory. Daarbij kwam dan nog het telefoongedeelte!”
Concreet gezien controleert de switch, wanneer een toestel verbinding maakt met een ethernet-poort, of dit wel degelijk tot de Active Directory behoort en of er een lokale account bestaat op de Infranet-controllers. Zo ja, wordt de poort geopend en wordt ethernet-verkeer toegestaan. Voor een volledige toegang tot het internet moet de Infranet-controller de conformiteitscriteria van de aangesloten machine controleren: draait de antivirustoepassing, is toegang tot het toestel mogelijk via de beheerssystemen (inventaris, update, …) enz. Indien niet aan alle criteria wordt voldaan, wordt het toestel afgezonderd van de rest van de servers en de opslag in een herstel-VLAN om het probleem van op afstand op te lossen.
Company Profile
RTL Belgium NV (RTL-groep) bewerkt en verspreidt televisiekanalen (RTL-TVI, Club RTL, Plug RTL) en radiozenders (Bel RTL, Radio Contact) waarvan het ook de regie verzorgt. De afdeling New Media levert de inhoud voor de VOD, de smartphones en andere opkomende media.
Business benefits
- “Wie/wat maakt verbinding met mijn LAN en waar?” onder controle
- Geen onbevoegde PC’s op het netwerk
- Vlotte diagnose en herstel bij weigering van verbinding: conform maken van een PC, vaststelling van een defecte antivirustoepassing, voorzien van tijdelijke toegang
- Consolidatie van de logs in een interface die het mogelijk maakt om bugs te detecteren
- Transparante oplossing voor de eindgebruikers
Meer info?
Kijk voor meer informatie over Inside Security op Belgacom Inside Security, of contacteer uw account manager.
Meeste commentaren